Русия обвинена за фишинг атаки срещу германски служители чрез Signal
Германия официално приписа сложна фишинг кампания на руски държавно спонсорирани актьори, след като стотици известни лица, включително федерални министри, членове на Бундестага и дипломати, са имали компрометирани акаунти в Signal. Федералната прокуратура на Германия е образувала официално разследване за шпионаж, определяйки инцидента като един от най-значимите кибератаки, подкрепени от държава, насочени срещу германски политически фигури в скорошната памет.
Атаката не е пробила криптирането на Signal. Вместо това тя е използвала нещо много по-трудно за поправяне: човешкото доверие.
Как е работила фишинг атаката срещу Signal
Нападателите са се представяли за служители на поддръжката на Signal, изпращайки фалшиви съобщения, които подтиквали целите да предадат своите кодове за верификация на акаунта. Веднъж сдобили се с тези кодове, хакерите са могли да свържат акаунтите в Signal на жертвите с устройства, контролирани от нападателите, получавайки пълен достъп до лични разговори и списъци с контакти — в реално време, без да е необходимо да разбиват основното криптиране на приложението.
Тази техника е известна като отвличане чрез свързано устройство и е особено опасна, тъй като Signal по замисъл не изисква парола за четене на съобщения, след като акаунтът бъде свързан. Криптирането, което прави Signal толкова доверен сред журналисти, активисти и държавни служители, на практика се заобикаля в момента, в който нападателят контролира свързано устройство.
Поуката тук не е, че Signal е несигурен. Тя е, че никой отделен инструмент за сигурност, колкото и добре проектиран да е, не може да защити потребител, който е бил подмамен да предаде своите идентификационни данни.
Защо криптираните приложения сами по себе си не са достатъчни
Тази атака илюстрира критична пропаст в начина, по който много хора — включително специалисти, които би следвало да знаят по-добре — мислят за цифровата сигурност. Приложенията за криптирани съобщения защитават данните при пренос. Те не защитават срещу социален инженеринг, компрометирани крайни точки или манипулация на ниво акаунт.
Държавно спонсорираните заплашители, особено тези с значителни ресурси и оперативно търпение, са склонни да атакуват човешкия слой именно защото техническият слой е толкова труден за пробиване. Много по-лесно е да убедиш някого да предаде код за верификация, отколкото да разбиеш съвременното криптиране.
Именно затова специалистите по сигурност последователно се застъпват за многопластова защита, а не за разчитане на един-единствен инструмент. Всеки допълнителен слой на защита принуждава нападателя да преодолее още една пречка и на практика повечето нападатели ще преминат към по-лесни цели, вместо да изразходват ресурси срещу добре защитена такава.
Какво означава това за вас
Повечето хора, четящи това, не са германски федерални министри. Но тактиките, използвани в тази кампания, не са уникални за правителствени цели с висока стойност. Фишинг атаките, имитиращи популярни приложения и услуги, са сред най-честите заплахи, пред които са изправени обикновените потребители, а имитирането на Signal е документирано в множество държави през последните две години.
Ето какво прави германският случай ясно за всеки, който разчита на криптирани съобщения за чувствителна комуникация:
Кодовете за верификация са ключовете към вашия акаунт. Никоя легитимна услуга, включително Signal, никога няма да ви помоли да споделите код за верификация чрез чат съобщение или имейл. Ако някой поиска вашия, заявката е измамна — без изключение.
Свързаните устройства представляват реална повърхност за атака. Периодичната проверка на устройствата, свързани с вашия акаунт в Signal (намираща се в Настройки под Свързани устройства), отнема около тридесет секунди и може да разкрие неоторизиран достъп, преди да бъдат нанесени значителни щети.
Двуфакторното удостоверяване добавя значима бариера. Signal предлага функция за заключване при регистрация, която изисква PIN код преди акаунтът ви да може да бъде повторно регистриран на ново устройство. Активирането й е една от най-простите и най-ефективните стъпки, които можете да предприемете. По-общо казано, използването на приложение за удостоверяване вместо SMS за двуфакторно удостоверяване за всички акаунти значително повишава цената на превземането на акаунт за нападателя.
Сигурността на устройството е също толкова важна, колкото сигурността на приложението. Ако устройството, на което работи Signal, е компрометирано чрез зловреден софтуер или физически достъп, криптирането предоставя малка защита. Поддържането на актуални операционни системи, използването на силни PIN кодове за устройства или биометрия и избягването на приложения, инсталирани от неофициални източници, намалява съществено този риск.
Осведомеността на мрежово ниво има значение. Достъпването на чувствителни акаунти през ненадеждни обществени мрежи създава допълнително излагане. Надежден VPN може да намали риска от прихващане на трафика, когато не сте в мрежа, която контролирате, въпреки че той е само един слой сред няколко, а не пълно решение.
По-голямата картина
Германската фишинг атака срещу Signal е напомняне, че най-силното криптиране в света не може да компенсира липсващата култура на осъзнатост за сигурност. Когато сложни държавни актьори са готови да инвестират в търпеливи, целенасочени кампании за социален инженеринг срещу законодатели и дипломати, обикновените потребители, боравещи с чувствителна лична или професионална информация, са изправени пред подобна, макар и по-малко ресурсно обезпечена, версия на същата заплаха.
Отговорът не е паника и не е изоставяне на инструменти като Signal, който остава една от най-сигурните налични опции за съобщения. Отговорът е изграждането на навици и многопластова защита, които правят социалния инженеринг по-труден за изпълнение. Прегледайте свързаните си устройства, активирайте заключването при регистрация, третирайте нежеланите заявки за код за верификация като автоматични червени флагове и мислете за своята позиция по отношение на сигурността като поредица от припокриващи се предпазни мерки, а не като едно приложение, вършещо цялата работа.
